fbpx
Kategorie
Bezpieczeństwo Publicystyka Zrób to sam

Łamiemy hasło do szyfrowanego PDF-a

W 2020 roku napisałem artykuł o tym, że używanie numeru PESEL jako hasła do PDF-a nie chroni skutecznie jego zawartości. Pokazałem, jak na domowym komputerze z przeciętną kartą graficzną przełamać takie zabezpieczenie w kilkanaście sekund.

Gdy natrafiłem na informację o wymyślnym schemacie konstruowania hasła chroniącego PDF-a z rocznym podsumowaniem rachunku PKO TFI, postanowiłem powtórzyć ów eksperyment – tym razem przy użyciu szybszej karty graficznej. Czy wyniki różniły się znacząco? Sprawdźmy!

Kategorie
Bezpieczeństwo Publicystyka

Znalazłeś pamięć USB – co najgorszego może się wydarzyć?

Niedawno przeczytałem w serwisie gov.pl następującą notkę: „w ostatnim czasie doszło do incydentu, tj. znalezienia poza terenem Stacji pendrive m.in. z danymi pochodzącymi z Powiatowej Stacji Sanitarno – Epidemiologicznej w Policach, wskutek czego doszło do naruszenia bezpieczeństwa danych osobowych tam zapisanych”.

Zadumałem się. Mało kto przymierza znalezione na ulicy majtki albo częstuje się pozostawionym w przypadkowym miejscu, cudzym kebabem. Czy sprawdzanie zawartości znalezionego pendrive’a na swoim komputerze jest dobrym pomysłem? Jaka jest najgorsza rzecz, która może się przydarzyć? W niniejszym tekście przyjrzymy się ryzykom oraz oszacujemy prawdopodobieństwo ich wystąpienia.

Kategorie
Bezpieczeństwo Publicystyka

Narodowy Bank Polski powinien porzucić protokół HTTP

Nie wierzę, że w 2023 muszę rozpoczynać artykuł następującym apelem: w interesie klientów i własnym, Narodowy Bank Polski powinien porzucić niebezpieczne protokoły sieciowe w swoich kanałach komunikacji elektronicznej. No dobra, mogę wierzyć lub nie wierzyć, to bez znaczenia. Niniejszy artykuł opiera się na faktach.

Faktem jest, że witryna WWW Narodowego Banku Polskiego nie gwarantuje bezpieczeństwa w zakresie integralności komunikacji. Faktem jest, że do danych serwowanych przez API (interfejs programistyczny) można dostać się za pomocą niezabezpieczonego protokołu HTTP. Faktem jest wreszcie, że wszystkie przykłady użycia owego API promują wariant komunikacji podatny na trywialnie prosty podsłuch i modyfikację zarówno żądań, jak i odpowiedzi.

Kategorie
Bezpieczeństwo Porady

Czy potrzebujesz NAS-a?

Pandemia pozwoliła wielu osobom przenieść stanowisko pracy do domu. Inwestujemy w dobre monitory, ergonomiczne krzesła, czasem lepszy router WiFi. Nadal jednak wiele osób robiących Poważne Rzeczy Na Komputerze nie wie, że przydałby im się NAS, czyli pamięć masowa podłączona do lokalnej sieci komputerowej (Network Attached Storage). 

Niniejszy artykuł jest pigułką wiedzy na poziomie podstawowym. Opisuję najpopularniejsze zastosowania NAS-ów, pierwsze kroki z nowym urządzeniem, opłacalność inwestowania w droższe modele – a wszystko z punktu widzenia profesjonalisty pracującego z domu.

Kategorie
Bezpieczeństwo

Przeglądarka cię chroni, ale nie śledzi

Jeśli zdarza ci się klikać w nieco bardziej szemranych rejonach internetów, być może znasz krwiście czerwony ekran przeglądarki ostrzegający przed niebezpieczeństwem na otwieranej stronie. Ta funkcja uratowała przed problemami niezliczone rzesze użytkowników, ale rodzi wątpliwości innej natury – czy Google śledzi każde nasze kliknięcie?

Nie śledzi! Dziś dowiemy się, w jaki sposób działa funkcja Safe Browsing, używana w przeglądarkach Chrome, Firefox, Safari i innych – zarówno na desktopie jak i mobilkach. Podczas lektury przydatna będzie wiedza z poprzedniego artykułu, w którym poznaliśmy funkcje skrótu.

Kategorie
Bezpieczeństwo

Jak serwer sprawdza hasło, skoro nie przechowuje haseł, czyli rzecz o funkcjach skrótu

Dziś zadamy sobie pytanie: w jaki sposób serwis online może sprawdzić poprawność naszego hasła, zarazem nie przechowując owego hasła na serwerze. Kluczowym elementem odpowiedzi będzie tzw. „funkcja skrótu” (funkcja haszująca), która pojawia się w wielu zastosowaniach związanych z kryptografią.

Programiści używają jednak funkcji skrótu także do innych celów. Dowiemy się, dlaczego przy różnych okazjach należy dobierać różne funkcje skrótu i dlaczego niewłaściwy wybór może rodzić poważne konsekwencje.

Kategorie
Administracja publiczna Android Bezpieczeństwo iOS Publicystyka

Dlaczego MSWiA nie zainstaluje wszystkim swojej aplikacji

Tak więc doczekaliśmy kolejnej próby obowiązkowego instalowania aplikacji rządowej w smartfonach Polaków. A dokładniej – próby osadzenia tej aplikacji w fabrycznie nowych telefonach, zanim jeszcze trafią do rąk użytkowników. W rzadkim przypływie realizmu ustawodawca dodał do projektu ustawy zastrzeżenie „o ile jest to technicznie możliwe”. Niniejszy artykuł objaśnia, dlaczego możliwości techniczne nie zawsze przystają do rzeczywistości geopolitycznej.

Operację „preinstalacji” miałby przeprowadzać „autoryzowany sprzedawca”, terminu tego jednak nie sprecyzowano. Kim miałby on być? Kogo i w jaki sposób może naciskać polski rząd, aby wymusić ową preinstalację? Dlaczego takie zamierzenia są skazane na porażkę? Zapraszam do lektury!

Kategorie
Bezpieczeństwo Recenzja

Recenzja książki „PWNED The collected blog posts of Troy Hunt”

Chyba każdy, kto interesuje się bezpieczeństwem IT, słyszał o serwisie Have I Beed Pwned, prowadzonym przez australijczyka Troya Hunta. HIBP to agregator informacji o wyciekach danych. Każdy posiadacz e-maila lub telefonu może sprawdzić, w którym z kilkuset ujawnionych wycieków pojawił się jego adres albo numer, każdy może też zasubskrybować alerty informujące o udziale w przyszłych incydentach.

Troy Hunt znany jest również jako autor kursów na Pluralsight, mówca konferencyjny, ale przede wszystkim jako autor poczytnego bloga troyhunt.com, poświęconego tematyce bezpieczeństwa w internecie. To właśnie ów blog stał się osią książki „PWNED The collected blog posts of Troy Hunt”. Czy warto po nią sięgnąć?

Kategorie
Bezpieczeństwo Porady

Czy korzystanie z publicznego Wi-Fi jest bezpieczne?

Hotel, pub, biblioteka, lotnisko, pociąg, centrum miasta – we wszystkich tych miejscach możemy trafić na darmowy, bezprzewodowy dostęp do internetu. Czy skorzystanie z takiej usługi będzie bezpieczne? Czy ktoś nie włamie się nam na konto w banku, do Facebooka, na maila? Czy nie wykradnie z telefonu zdjęć albo SMS-ów?

Na takie pytania specjaliści zwykli odpowiadać „to zależy”, ale tym razem będzie inaczej. W niniejszym tekście postaram się objaśnić, dlaczego kilkanaście lat temu odpowiedź brzmiała „to spore zagrożenie” a dziś brzmi „nie ma się czego obawiać”. Wskażę też dwie sytuacje, w których należy mieć się na baczności.

Kategorie
Artykuł sponsorowany Bezpieczeństwo

Szkolenie Sekuraka „Co każdy powinien wiedzieć o atakach socjotechnicznych / phishingu?”

Już w najbliższy czwartek, 15 kwietnia 2021, odbędzie się sekurakowe szkolenie „Co każdy powinien wiedzieć o atakach socjotechnicznych / phishingu?”. Naprawdę warto poświęcić czas i pieniądze, aby nie mówiono o nas kiedyś „mądry Polak po szkodzie” – tym bardziej, że prawdopodobnie będzie to jedyna edycja tego szkolenia.

Szkolenie będzie poprowadzone przez Dorotę Kulas. Dorota pracuje od 10 lat w Red Teamie globalnej korporacji, gdzie zajmuje się kwestiami inżynierii społecznej, symulując ataki w cyberprzestrzeni przeciwko bardzo kompetentnemu Blue Teamowi. To ceniona w branży specjalistka, posiadająca certyfikat Social Engineering Pentesting Professional, organizatorka x33fcon.